카스퍼스키가 국내 기관 공격에 사용된 것으로 추정되는 신종 랜섬웨어 ‘Gunra’에 대한 기술 분석 결과를 발표했다. 2025년 4월부터 활동이 확인된 Gunra는 유출된 Conti 소스코드를 기반으로 제작된 고도화된 위협으로, 보건의료, 보험, IT 인프라 등 고가치 산업을 주요 표적으로 삼고 있다.
위협 어트리뷰션 분석 결과, 전체 코드의 약 25%가 Conti와 구조적으로 유사하며, 다중 스레드 암호화, 서비스 종료 루틴, 네트워크 공유 탐색 로직 등 핵심 기능이 그대로 계승됐다. 암호화 방식은 ChaCha20 대칭키와 RSA-2048 비대칭키를 조합해 피해자가 복호화 키 없이는 데이터를 복원할 수 없도록 설계됐으며, 모든 암호화 파일의 헤더에는 ‘GRNC’ 식별자가 삽입된다.
암호화 대상은 문서, DB, 가상머신 이미지 등 기업 자산이며, 시스템 파일은 의도적으로 제외해 협상 가능성을 열어둔 구조다. 감염 이후 각 폴더에는 ‘R3ADM3.txt’라는 랜섬노트가 생성되며, Tor 기반 협상 사이트 접속을 유도하고 협상 실패 시 다크웹 블로그에 정보를 공개하겠다는 협박이 동반된다.
Gunra 운영자는 실제로 다크웹에 피해 기업 목록을 게재하고 있으며, 아메리칸 호스피탈 두바이의 40TB 이상 환자 정보 유출 사례가 게시된 바 있다. 감염 경로는 피싱 이메일, 취약한 VPN 소프트웨어 및 노출된 RDP 등 세 가지가 주요하게 사용되며, 각각의 경로는 자동화된 도구를 통해 지속적으로 활용되고 있다.
카스퍼스키는 HEUR:Trojan-Ransom.Win32.Gunra.gen 등 시그니처 기반으로 Gunra를 탐지하고 있으며, 관련 IOC 및 Yara 룰을 위협 인텔리전스 포털을 통해 제공하고 있다. 대응 방안으로는 RDP 포트 제한과 다단계 인증, 백업 체계 구축, EDR·NDR 기반 Yara 룰 적용, IOC 기반 로그 모니터링이 제시됐다.
카스퍼스키는 Gunra를 단순한 변종이 아닌 RaaS 시장 내 정교화된 진화 사례로 평가하며, 향후 대형 기관 및 기간 산업을 대상으로 한 고도화된 공격이 이어질 가능성을 경고했다.
0 / 0
